Proyecto de Ley de Seguridad Privada (e "informática")

Ayer (10/12/2013) se presentó en el congreso el proyecto de ley de seguridad privada. OK.

Personalmente estaba preocupado por la cesión de datos personales entre las fuerzas y cuerpos de seguridad del estado (FCSE) y las empresas de seguridad privada ("seguratas"). Por eso, me salté los artículos periodísticos y me fui a la fuente, al texto del proyecto de ley donde descubrí que el proyecto dedica varias referencias a la informática, en concreto a las "empresas de seguridad informática".

El texto completo está en la Web de El Congreso. Aquí: http://www.congreso.es/portal/page/portal/Congreso/PopUpCGI?CMD=VERLST&BASE=pu10&FMT=PUWTXDTS.fmt&DOCS=1-1&DOCORDER=LIFO&QUERY=%28BOCG-10-A-50-3.CODI.%29

Estos son los extractos del texto que más me han llamado la atención por su relación con la seguridad informática.
Exposición de motivos
[...]
La seguridad de la información y las comunicaciones aparece por primera vez configurada no como actividad específica de seguridad privada, sino como actividad compatible que podrá ser desarrollada tanto por empresas de seguridad como por las que no lo sean, y que, por su incidencia directa en la seguridad de las entidades públicas y privadas, llevará implícito el sometimiento a ciertas obligaciones por parte de proveedores y usuarios.
[...]
Aquí ya vemos que esta ley va a incluir "la seguridad de la información y las comunicaciones", sea lo que sea esto.

Artículo 3. Ambito de aplicación
[...]
empresas prestadoras de servicios de seguridad informática
[...]
Sigue sin definir seguridad informática. Al menos usan la palabra "informática" y no sistemas de información, TIC, u otros sustitutos comunes.

Artículo 11. Registro Nacional de Seguridad Privada y registros autonómicos.
[...]
4. En los mencionados registros, nacional y autonómicos, se anotarán también los datos de las empresas que realicen actividades de seguridad informática, de acuerdo con lo que reglamentariamente se determine.
[...]
Ya sabemos que tendremos que registrarnos en algún sitio y cumplir algunos requisitos para obtener algún tipo de licencia.

Artículo 14. Colaboración profesional.
[...]
3. Las Fuerzas y Cuerpos de Seguridad podrán facilitar al personal de seguridad privada, en el ejercicio de sus funciones, informaciones que faciliten su evaluación de riesgos y consiguiente implementación de medidas de protección. Si estas informaciones contuvieran datos de carácter personal sólo podrán facilitarse en caso de peligro real para la seguridad pública o para evitar la comisión de infracciones penales.

Artículo 15. Acceso a la información por las Fuerzas y Cuerpos de Seguridad.

1. Se autorizan las cesiones de datos que se consideren necesarias para contribuir a la salvaguarda de la seguridad ciudadana, así como el acceso por parte de las Fuerzas y Cuerpos de Seguridad a los sistemas instalados por las empresas de seguridad privada que permitan la comprobación de las informaciones en tiempo real cuando ello sea necesario para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales.
[...]
Así que habrá comunicación bidireccional entre empresas y FCSE.

Artículo 19. Requisitos generales.
[...]
d) Suscribir un contrato de seguro de responsabilidad civil o constituir otras garantías financieras en la cuantía y con las condiciones que se determinen reglamentariamente.
[...]
4. Para la contratación de servicios de seguridad privada en los sectores estratégicos definidos en la legislación de protección de infraestructuras críticas, las empresas de seguridad privada deberán contar, con carácter previo a su prestación, con una certificación emitida por una entidad de certificación acreditada que garantice, como mínimo, el cumplimiento de la normativa administrativa, laboral, de Seguridad Social y tributaria que les sea de aplicación.
[...]
8. El incumplimiento sobrevenido de los requisitos establecidos en este artículo dará lugar a la extinción de la autorización o al cierre de la empresa, en el caso de presentación de declaración responsable, y, en ambos casos, a la cancelación de oficio de la inscripción de la empresa de seguridad en el registro correspondiente.
Así que las empresas de seguridad (también de seguridad informática) deberán tener los papeles en regla y la licencia en orden para poder realizar su actividad.

Artículo 56. Infracciones. Clasificación y prescripción.
[...]
1. Infracciones muy graves
[...]
r) La falta de comunicación por parte de empresas de seguridad informática de las incidencias relativas al sistema de cuya protección sean responsables cuando sea preceptivo.
[...]
Artículo 61. Sanciones
1. Por la comisión de infracciones muy graves:
a) Multa de 30.001 a 600.000 euros.
b) Extinción de la autorización, o cierre de la empresa o despacho en los casos de declaración responsable, que comportará la prohibición de volver a obtenerla o presentarla, respectivamente, por un plazo de entre uno y dos años, y cancelación de la inscripción en el registro correspondiente.
[...]
Es decir, hay que registrar y comunicar a las FCSE los incidentes de seguridad sufridos en aquellos sistemas que protejamos.

</ Proyecto de Ley de Seguridad Privada (e "informática")>